Introducción
Esta sección describe cómo configurar un Servidor HTTP para que sus procesos de Bizagi puedan ser accedidos de manera segura desde Internet.
Automation Server soporta una configuración para el acceso tanto desde la intranet como la extranet, con las medidas de seguridad apropiadas donde se considera un proxy inverso.
A través de esta guía se ilustra cómo configurar un Servidor HTTP Apache, con la posibilidad de utilizar SSL, y activando el módulo del proxy inverso de manera que desde cualquier dispositivo (portátiles, teléfonos inteligentes, tabletas) se acceda al Portal de Trabajo de Bizagi.
Lo siguiente representa la arquitectura considerada:
Nótese que los servicios de un proxy inverso permite redirigir el acceso desde Internet hacia el servidor de Bizagi con protocolos seguros, mientras que los usuarios en la intranet continuarán accediendo el Portal de Trabajo de Bizagi desde adentro.
Utilizar el Servidor HTTP Apache
Para utilizar el Servidor HTTP Apache, instálelo en el Servidor dentro de la Zona desmilitarizada (DMZ) y configúrelo de acuerdo a como se indica en las secciones inferiores.
Instalar el Servidor HTTP Apache
Para instalar Apache, lleve a cabo estos pasos:
1. Descargue el instalador del Servidor HTTP Apache desde la página oficial: Apache HTTP Server.
2. Instale el Servidor. Nótese que los parámetros configurados al momento de la instalación pueden modificarse más adelante. La ruta que se seleccione para instalar el Servidor será referenciado en este documento como <APACHE_HOME>.
Configuración de seguridad
Para habilitar los Experto avanzados de seguridad en Apache, los cuales incluyen el proxy inverso, siga estos pasos:
1. Ubique el archivo de configuración de Apache.
Realice esto, editando el archivo httpd.conf ubicado en la ruta <APACHE_HOME>\conf\.
Este archivo puede editarse en sistemas operativos Windows a través de la opción en Inicio -> Programas -> Apache HTTP Server -> Configure Apache Server -> Editar el archivo de configuración httpd.conf.
2. Habilitar los Experto requeridos.
Habilite los Experto involucrados en la funcionalidad del proxy, removiendo el caracter "#" de las siguientes líneas:
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
Si desea habilitar y utilizar el protocolo de Secure Socket Layer (SSL), remueva el caracter "#" de la siguiente línea:
LoadModule ssl_module modules/mod_ssl.so
Para más información detallada sobre este módulo de Apache, consulte la documentación oficial.
|
En caso de habilitar y querer utilizar SSL, habilite el puerto del SSL incluyendo la siguiente línea, ubicado debajo de las opciones donde escucha el servicio (Listen). Listen 443 Nótese que el puerto por defecto para el servicio es el por defecto del navegador (80), pero 8080 también es frecuentemente utilizado.
|
3. Configurar el proxy inverso.
Incluya la definición de redirección del proxy, según si se utiliza SSL o no.
Si el Servidor HTTP Apache no utiliza un certificado digital y no se habilita el SSL, entonces incluya las siguientes líneas al final del archivo:
<VirtualHost [APACHE_IP]:[APACHE_PORT]>
ServerName [SERVIDOR_BIZAGI]
# Proxy configuration
ProxyRequests Off
ProxyPreserveHost On
ProxyPass /[SU_PROYECTO]/jquery http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/jquery
ProxyPass /[SU_PROYECTO]/Charts http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/Charts
ProxyPass /[SU_PROYECTO]/css http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/css
ProxyPass /[SU_PROYECTO]/img http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/img
ProxyPass /[SU_PROYECTO]/js http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/js
ProxyPass /[SU_PROYECTO]/Localization http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/Localization
ProxyPass /[SU_PROYECTO] http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]
ProxyPassReverse /[SU_PROYECTO] http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]
</VirtualHost>
En estas líneas, considere reemplazar los valores correspondientes:
•[APACHE_IP]: La dirección IP bajo la cual se accede al servicio de Apache.
•[APACHE_PORT]: El puerto HTTP bajo el cual escucha el servicio de Apache.
•[SERVIDOR_BIZAGI]: El servidor que alberga a Automation Server.
•[SU_PROYECTO]: El directorio virtual de su proyecto Bizagi.
Por ejemplo, si su proyecto de Bizagi se llama "MyProject" entonces se debe configurar el archivo como se ilustra a continuación (partiendo también de un Apache instalado en el puerto 80):
Por otro lado, si se configuró el Servidor HTTP Apache para que utilice un certificado digital, por medio de SSL, entonces es necesario configurar el host virtual incluyendo las siguientes líneas:
NameVirtualHost *:443
<VirtualHost *:443>
DocumentRoot "<APACHE_HOME>/htdocs"
ServerName [SERVIDOR_BIZAGI]
<Directory "<APACHE_HOME>/htdocs">
Options Indexes FollowSymLinks MultiViews
AllowOverride None
SSLRequireSSL
Order allow,deny
Allow from all
</Directory>
SSLProxyEngine on
ProxyRequests Off
ProxyPreserveHost On
ProxyPass /[SU_PROYECTO]/jquery http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/jquery
ProxyPass /[SU_PROYECTO]/Charts http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/Charts
ProxyPass /[SU_PROYECTO]/css http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/css
ProxyPass /[SU_PROYECTO]/img http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/img
ProxyPass /[SU_PROYECTO]/js http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/js
ProxyPass /[SU_PROYECTO]/Localization http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/Localization
ProxyPass /[SU_PROYECTO] http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]
ProxyPassReverse /[SU_PROYECTO] http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile "<LOCAL_PATH>/public.crt"
SSLCertificateKeyFile "<LOCAL_PATH>/ApachePrivateKey.key"
SSLCertificateChainFile "<LOCAL_PATH>/intermediate.crt"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory "[SERVIDOR_BIZAGI]/cgi-bin">
SSLOptions +StdEnvVars
</Directory>
BrowserMatch ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</VirtualHost>
En estas líneas, considere reemplazar los valores correspondientes para:
•<APACHE_HOME>: La ruta de instalación de Apache. Tenga en cuenta que el formato en este archivo espera "/" (en vez de "\") como el caracter separador de carpeta.
•<LOCAL_PATH>: La ruta donde se encuentran los archivos del certificado a usar por el SSL.
•[APACHE_IP]: La dirección IP bajo la cual se accede al servicio de Apache.
•[APACHE_PORT]: El puerto HTTP bajo el cual escucha el servicio de Apache.
•[SERVIDOR_BIZAGI]: El servidor que alberga a Automation Server.
•[SU_PROYECTO]: El directorio virtual de su proyecto Bizagi.
Para más información y documentación sobre las directivas y parámetros de SSL, consulte este enlace externo.
Guarde los cambios de este archivo y reinicie su Servidor HTTP Apache.
En este punto hemos terminado la configuración para acceder Bizagi desde Internet de una manera segura, desde cualquier dispositivo!
Importante
En esta configuración, es necesario que el portal de Bizagi permita la autenticación anónima.
Es decir, si se utiliza autenticación integrada (p.e Windows) o tipo Bizagi, a nivel de servidor de Bizagi (específicamente en el IIS para la edición .NET), se debe tener habilitada la autenticación anónima.
Punto de chequeo
Para verificar la configuración, y acceder al servicio, digite en un navegador desde afuera de la intranet:
http://[APACHE_IP]:[APACHE_PORT]/[SU_PROYECTO]
Con lo que esta solicitud se redirigirá al Portal de Trabajo de Bizagi de manera segura.